本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 做為安全控制工程一部分的偵測
<a name="detection-as-security-control-engineering"></a>

 偵測機制是安全控制開發不可或缺的一部分。定義*指示*和*預防性*控制時，應建構相關的*偵測*性和*回應*性控制。例如，組織會建立與 AWS 帳戶根使用者相關的指令控制，這應該僅用於特定且定義良好的活動。它們將其與使用 AWS 組織的服務控制政策 (SCP) 實作的預防性控制相關聯。如果發生超出預期基準的根使用者活動，則使用 EventBridge 規則和 SNS 主題實作的偵測性控制會提醒安全操作中心 (SOC)。回應式控制需要 SOC 選取適當的手冊、執行分析和工作，直到事件解決為止。

 安全控制最好透過在 中執行的工作負載的威脅建模來定義 AWS。偵測性控制的關鍵性將透過查看特定工作負載的業務影響分析 (BIA) 來設定。偵測性控制項產生的警示不會在進入時處理，而是根據其初始重要性在分析期間進行調整。初始關鍵性集有助於排定優先順序；發生警示的內容將決定其真正的關鍵性。例如，組織使用 Amazon GuardDuty 做為用於工作負載一部分 EC2 執行個體的偵測控制元件。`Impact:EC2/SuspiciousDomainRequest.Reputation` 會產生調查結果，通知您工作負載中列出的 Amazon EC2 執行個體正在查詢疑似惡意的網域名稱。此提醒預設為低嚴重性，並且隨著分析階段的進展，已確定未經授權的演員`p4d.24xlarge`已部署數百個 類型的 EC2 執行個體，大幅增加組織的營運成本。此時，事件回應團隊會決定將此提醒的重要性調整為*高*，增加緊迫感並加速進一步的動作。請注意，GuardDuty 調查結果嚴重性無法變更。